IT-Angriffe Dieser Hacker kommt Spionen auf die Schliche

Dunkle Sonnenbrille, aber "White Hat": Morgan Marquis-Boire

(Foto: Mike Bridge; John Mike Bridge)
  • Der Hacker Morgan Marquis-Boire arbeitete früher für Google, heute hilft er weltweit Oppositionellen.
  • Er analysiert Spähsoftware und versucht herauszufinden, welche Staaten dahinterstecken - und welche Unternehmen damit Geld machen.
  • Es geht auch um die Frage, wer Alberto Nismans Handy überwachen wollte.
Von Hakan Tanriverdi, New York

Morgan Marquis-Boire hat sich für einen ungleichen Kampf entschieden. Auf der einen Seite Elite-Hacker, die im Auftrag von Staaten Menschen ausspionieren, auf der anderen Seite er und ein paar seiner Kollegen. Sie öffnen auf ihren Rechnern Dateien, die mit Schadsoftware infiziert sind, und versuchen in monatelangen Analysen herauszufinden, wer genau hinter den Angriffen steckt. Morgan Marquis-Boire ist ein Viren-Jäger.

Er und seine Mitstreiter konnten schon mehreren Ländern nachweisen, dass sie digitale Spionage-Kits zu benutzen. Syrien, Marokko, Bahrain gehören dazu. Marquis-Boire sagt: "In den vergangenen fünf Jahren habe ich stark gefährdete Individuen unterstützt, die von Hackern im Staatsauftrag angegriffen wurden." Die Staaten setzten Software ein, um Computer und Smartphones von Regimegegnern zu infiltrieren. Schaffen die Angreifer das, können sie Passwörter auslesen, an Dokumente und Bilder kommen, die Tastatur anzapfen und jedes Gespräch verfolgen. So können sie herausfinden, wo sich die ausgespähte Person zu einem bestimmten Zeitpunkt befinden wird und was sie genau vorhat. Aktivisten werden abgefangen, womöglich gefoltert.

Neuer Bericht deckt Spionage in Lateinamerika auf

Früher arbeitete Marquis-Boire für Google, heute für die auf Leaks und das Thema Überwachung spezialisierte Nachrichtenseite The Intercept. An seinem Akzent hört man, dass er in Neuseeland geboren wurde. An seiner Facebook-Seite sieht man, dass er gerne Metal-Musik hört. So laut, dass die Decke des Nachbarn bröckelt. Seit Monaten hört er verstärkt Metal aus Argentinien.

Das hängt mit einem Bericht zusammen, der am Mittwoch veröffentlicht wurde. Für ihn hat Marquis-Boire mit drei weiteren IT-Sicherheitsexperten recherchiert, dass eine Gruppe von Angreifern, genannt "Packrat", seit 2008 in mehreren Ländern Lateinamerikas gezielt Journalisten und Anwälte ausspioniert. Wer steckt dahinter? Das wahrscheinlichste Szenario den Autoren des Berichts zufolge: "Wir gehen davon aus, dass Packrat durch einen oder mehrere Staaten gefördert wird". Ein konkretes Land nennen sie nicht.

"Anzeichen, dass ein Staat dahintersteckt"

Die Angreifer hatten es dem Bericht zufolge auch auf Alberto Nisman abgesehen. Der argentinische Staatsanwalt war im Januar tot in seiner Wohnung gefunden worden. Weil er sich mit der argentinischen Regierung angelegt hatte, löste sein Tod Spekulationen aus (mehr dazu hier). Er wollte Beweise vorlegen, dass die Regierung Ermittlungen der Justiz zu einem Anschlag auf die jüdische Wohlfahrtsorganisation Amia im Jahr 1994 behindert habe, bei dem 85 Menschen ums Leben kamen. Marquis-Boire analysiert die Spionage-Software, die auf dem Android-Smartphone des Anwalts gefunden worden war. Nur weil die Software für das Windows-Betriebssystem geschrieben worden war, wurde Nisman nicht mit diesem Trojaner infiziert.

Maulkorb aufgehoben: Nach elf Jahren darf Unternehmer über FBI auspacken

Nicholas Merrill, Chef einer Internet-Firma, musste 2004 weitreichende Daten eines Kunden an das FBI übermitteln. Erst jetzt darf er darüber reden. Von Hakan Tanriverdi mehr ...

"Es gibt Anzeichen, dass ein Staat dahintersteckt", sagt Marquis-Boire, der seit Monaten an der Analyse sitzt und schon im August über die Software auf Nismans Handy geschrieben hat. "Die Domains und die dazugehörige Infrastruktur sind beispielsweise immer noch aktiv", sagt er. Für Marquis-Boire ist das ein Anhaltspunkt: Ist Schadsoftware erst einmal installiert, kommuniziert sie mit einem "Command and Control"-Server. An diese Adresse werden Daten geschickt und Befehle von der Adresse empfangen. "Üblicherweise wird so eine Infrastruktur schnell offline genommen, sobald sie geoutet ist. Das ist in diesem Fall nicht passiert", sagt Marquis-Boire. Er vermutet deshalb, dass die Gruppe sich nicht vor rechtlichen Konsequenzen fürchten muss. Das könnte dafür sprechen, dass sie von einem Staat zumindest gedeckt wird.

Dass Marquis-Boire einmal als sogenannter "White Hat" arbeiten würde, als Hacker für das Gute, überrascht ihn selbst. Er war Teil einer Clique, die vor 20 Jahren Anleitungen veröffentlichte, wie Studenten ihre Uni-Noten mit Hacking "optimieren" können. "Für die Hacker-Community war das Internet damals vor allem unsicher und mit Spaß verbunden", sagt er. In der Gründerzeit des Internets sei es ein beliebter Hack gewesen, die Uhrzeiten auf Telefonen um zwölf Stunden zu verschieben. Dafür brach ein Hacker 1981 in die Netzwerke von AT&T ein und verstellte dort die Zeit. So konnte er (und alle anderen Kunden der Firma) den deutlich günstigeren Nacht-Tarif nutzen.

Ernster wurde es bei Google. Für den Konzern kümmerten sich Marquis-Boire und sein Team darum, Hacker von den Netzwerken der Firma fernzuhalten. 2009 zum Beispiel hatten chinesische Angreifer Zugriff auf Datensätze von Google. Sie suchten nach Hinweisen, ob und welche Spione durch die US-Regierung überwacht werden (mehr dazu hier).

Er deckt auf, welche Firmen Geld mit Überwachung machen

Die Konflikte der Welt sollten Marquis-Boire noch stärker einholen. "Als die Aufstände im arabischen Raum begannen, kamen Freunde zu mir. Sie arbeiteten für Menschenrechtsorganisationen und sagten: 'Morgan, wir glauben, dass die Menschen vor Ort ausspioniert werden'", erzählt er. Er begann, Analysen zu schreiben. Erst für die Electronic Frontier Foundation, einer Organisation für Bürgerrechte in der digitalen Sphäre, später für Citizen Lab.

Wenn Marquis-Boire auf der Bühne steht, um über seine Arbeit zu reden, stellt er gerne eine Frage: "Wer von euch wurde vor einem Hacker-Angriff gewarnt"? Worauf er hinauswill: Googlemail analysiert einkommende Nachrichten. Landen Dateien im Postfach, die auf bekannte Angriffe zurückzuführen sind, schlägt das Programm Alarm. "Normalerweise hebt eine Person ihren Arm. Bei einer Konferenz über Netzfreiheit im arabischen Raum war es jede zweite Person im Saal", sagt Marquis-Boire. Heutzutage versuchten Staaten eben auch, Aufstände digital niederzuschlagen.

Späh-Firmen tauchen zuerst in seinen Berichten auf

Für das Citizen Lab deckte er auf, welche Firmen das große Geld mit Überwachungssoftware verdienen. Firmen wie Gamma Group und Hacking Team bieten Überwachungssoftware mit Rundum-Service an. Installation, Instandhaltung und Beratung. Die Namen ihrer Produkte tauchten mitunter in den Berichten von Marquis-Boire erstmals öffentlich auf.

Deutsche Firmen koordinieren Späh-Angriffe

Dokumente zeigen, wie skrupellos der Überwachungs-Anbieter Hacking Team seine Kunden auswählt. Einer deutschen Firma kommt dabei eine bedeutende Rolle zu. Von Lena Kampf, Andreas Spinrath, Jan Strozyk und Hakan Tanriverdi mehr ...

Die Firmen nahmen ihm das übel. Hacking Team n​ennt ihn zum Beispiel "tireless wolf-crier". Jemand, der so oft fälschlicherweise vor Wölfen warne, dass ihm niemand mehr glaube, wenn tatsächlich mal einer komme. In gehackten Unterlagen der Firma (mehr dazu hier) finden sich auch Dokumente, denen zufolge Marquis-Boire wohl heimlich beobachtet wurde. "Ich bin zwar nicht überrascht, dass sie mich ausspionieren, aber ich finde das dennoch unheimlich", sagt er.

Marquis-Boire hatte Angst, unfreiwillig zu einer Art Stiftung Warentest für Überwachungssoftware zu werden. Aus den Hacking-Team-Unterlagen ging hervor, dass die Hersteller die Citizen-Lab-Berichte als eine Art Gütesiegel verstanden. Seither fragt sich Marquis-Boire, ob und wie ausführlich er seine Analysen noch veröffentlichen soll, wenn Firmen dann etwa das FBI als Kunden gewinnen. "Die Leute dort sagen anscheinend: 'Hey, der Typ, der sämtliche Spyware analysiert, sagt, dass diese Schadsoftware vermutlich die beste ist'. Das ist nicht gut."

Neuer Job: Journalisten schützen

Mittlerweile konzentriert sich Marquis-Boire auf eine andere Aufgabe. Bevor er Google verließ, nutzte er noch die Möglichkeiten der Firma. "Wir haben in einer Studie herausgefunden, dass 21 der 25 größten Nachrichtenorganisationen von Hackern im Staatsauftrag angegriffen wurden." Sein neuer Job bei The Intercept ist also: Journalisten vor digitalen Angriffen schützen.

IT-Experten wollen die NSA austricksen

Amerikanische Firmen wie Google und Facebook müssen geheim halten, ob sie mit US-Behörden kooperieren. Ein neues Projekt soll das ändern. Von Hakan Tanriverdi mehr ...

Artikel wurde geupdatet, um den Telefon-Hack ausführlicher zu erklären.